1. トップ
  2. トピックス
  3. IPA「情報セキュリティ10大脅威2024(組織)」のランキングから見るサイバー攻撃の傾向

IPA「情報セキュリティ10大脅威2024(組織)」
のランキングから見るサイバー攻撃の傾向

毎年恒例の「情報セキュリティ10大脅威」が2024年1月24日にIPA(情報処理推進機構)から発表されました。相変わらずランサムウェアが猛威を振るう状況です。
また、2019年からの10大脅威の推移をグラフでご紹介します。脅威の傾向を確認いただき、今後のセキュリティ戦略の参考にしてください。

情報セキュリティ10大脅威2024とは

日本のIT国家戦略を技術面・人材面から支えるために設立された経済産業省所管の独立行政法人であるIPAが、情報セキュリティ対策の普及を目的として、情報セキュリティ事故や攻撃の状況等から脅威を選出し、2006年から毎年上位10位を公表しているのが、「情報セキュリティ10大脅威 2024」です。

2023年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。

ランキングには「個人」と「組織:企業、政府機関、公共団体等の組織およびその組織に所属している人」という立場でそれぞれランキングしていますが、ここでは「組織」のみを扱います。

情報セキュリティ10大脅威2024 (組織)のランキング

今回の調査では、すべての攻撃において滞留時間が急激に減少しています。特にランサムウェア攻撃の滞留時間の減少は顕著です。ランサムウェア攻撃の滞留時間は前年比で44%減少しており、過去の全期間と比較して72%減少しました。ランサムウェアが誕生してから今年で10年になりますが、訓練や学習が繰り返されており、確実に成熟化しています。多くの防御戦略が攻撃者の進化のペースに追いついていない中で、これは深刻な問題になっています。

ランサムウェアの滞留時間が減少していることから、2022年と2023年上半期に調査したすべての攻撃に対して滞留時間が5日以内の攻撃を詳細に調査しました。
その結果、滞留時間が5日以下であった攻撃について滞留時間に対するインシデント数の分布から、滞留時間の減少を確認できます。この データを見ても、低速な攻撃が減少している傾向にあることがはっきりとわかります。滞留時間の長さ(日数)と、その日数が確認されたケースの数との間には、明確な反比例の傾向が見られます。

順位 脅威 昨年順位
1位 ランサムウェアによる被害 1位
2位 サプライチェーンの弱点を悪用した攻撃 2位
3位 内部不正による情報漏えい 4位
4位 標的型攻撃による機密情報の窃取 3位
5位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) 6位
6位 不注意による情報漏えい等の被害 9位
7位 脆弱性対策情報の公開に伴う悪用増加 8位
8位 ビジネスメール詐欺による金銭被害 7位
9位 テレワーク等のニューノーマルな働き方を狙った攻撃 5位
10位 犯罪のビジネス化(アンダーグラウンドサービス) 10位

ランキングから見るサイバー攻撃の遷移

脅威 2019年 2020年 2021年 2022年 2023年 2024年
ランサムウェアによる被害 3 5 1 1 1 1
サプライチェーンの弱点を悪用した攻撃 4 4 4 3 2 2
内部不正による情報漏えい 5 2 6 5 4 3
標的型攻撃による機密情報の窃取 1 1 2 2 3 4
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) 圏外 圏外 圏外 7 6 5
不注意による情報漏えい等の被害 10 7 9 10 9 6
脆弱性対策情報の公開に伴う悪用増加 9 圏外 10 6 8 7
ビジネスメール詐欺による金銭被害 2 3 5 8 7 8
テレワーク等のニューノーマルな働き方を狙った攻撃 圏外 圏外 3 4 5 9
犯罪のビジネス化(アンダーグラウンドサービス) 圏外 圏外 圏外 圏外 10 10
予期せぬIT基盤の障害に伴う業務停止 圏外 6 7 9 圏外 圏外
インターネット上のサービスへの不正ログイン 圏外 圏外 8 圏外 圏外 圏外
インターネット上のサービスからの個人情報の窃取 7 8 圏外 圏外 圏外 圏外
IoT機器の不正利用 8 9 圏外 圏外 圏外 圏外
サービス妨害攻撃によるサービスの停止 6 10 圏外 圏外 圏外 圏外
※ 赤い数字は新登場、圏外は10位圏外です。

今年も1位は「ランサムウェアによる被害」

情報セキュリティ10大脅威2024 (組織)に選出された脅威は、昨年と全て同じものとなりました。

ランキングも1位「ランサムウェアによる被害」と2位「サプライチェーンの弱点を悪用した攻撃」は昨年と変わらず、昨年3位の「標的型攻撃による機密情報の窃取 」が4位とほとんど同じ顔ぶれになっています。

また、ヒューマンエラーや故意の不正による人が原因となっている脅威もここ数年常連となっています。3位に「内部不正による情報漏えい等の被害」、6位に「不注意による情報漏洩等の被害」がランキングされています。

「ゼロデイ攻撃」が年々ランキングアップして5位に

5位は「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」で2022年に7位に新登場してから年々ランキングをアップしています。ゼロデイ攻撃とは、脆弱性を解消する修正プログラムが提供される前に行われる攻撃であるため防衛が難しく、被害が拡大しやすいサイバー攻撃のであるといわれています。
防衛にはEDRのようなセキュリティ対策ツールでサイバー攻撃を監視して、不審な振る舞いを検知し対処をする体制が必要です。
中小企業などセキュリティ担当者が常時監視するのが難しい組織では、外部のMDRサービス(セキュリティ専門家による24H365日監視・対応サービス)などを利用する方法もあります。一方、公開された脆弱性情報を基に情報システムを狙うサイバー攻撃も、7位「脆弱性対策情報の公開に伴う悪用増加 」としてランキングされています。こちらはセキュリティパッチが公開されたら、即座に適用することで防止できます。

顧客信頼度No.1 Sophos MDR採用
AXIS総合セキュリティパックのご紹介

※ サイバーソリューション大手顧客レビューサイトG2の2023年冬で、総合評価1位を獲得

AI搭載UTMで
ネットワーク保護
EDRを進化させた
XDRで脅威を検知
常時、専門家が
脅威を対処
幅広くサイバー攻撃
による損害を補償
サイバーセキュリティ
お助け隊認定サービス
「AXIS総合セキュリティパック」は、Sophosの最新製品を採用した次世代型セキュリティシステム(Sophos Firewall XGS、Sophos Intercept X )に24時間年中無休のマネージメントサービス(Sophos MDR)さらに導入コンサルティングサービスとサイバー保険をワンパッケージにした最高レベルの総合セキュリティサービスです。

「テレワークを狙った攻撃」は9位にダウンしているが
引き続き注意が必要

昨年からランキングを大きく下げたのは「テレワーク等のニューノーマルな働き方を狙った攻撃」です。

「テレワーク等のニューノーマルな働き方を狙った攻撃」は、新型コロナウイルスの流行により、日本の企業の多くが在宅勤務によるテレワークがスタートした2020年(ランキングとしては2021年)に3位に新登場して以来、4位、5位とランキングを落とし、今回は9位となっています。当初セキュリティ対策が不十分なままテレワークをスタートさせた企業の多くがサイバー攻撃の標的にされていましたが、年々少しずつ改善された結果だと推測できます。
しかし、昨年も新たにVPNルータの脆弱性が報告された製品などもあります。警視庁の調べ(2023年上半期)では、テレワーク等に利用される機器等の脆弱性や強度の弱い認証情報等を利用して侵入したと考えられるものがランサムウェア感染経路の82%と大半を占めていますので引き続き注意が必要です。

MENU